whistleblowing

Règlement pour la gestion des signalements d’infractions et de violations (Whistleblowing) et la protection du lanceur d’alerte (Whistleblower)

Pour informations et signalements, écrire à violazioni@renatocorti.it

Version 1.1 du: 30/11/2023
Approuvé par: Administrateur Unique en date du: 06/12/2023

1. Préambule

Le dispositif de Whistleblowing consiste à permettre aux employés et collaborateurs de signaler des infractions et des comportements irréguliers susceptibles de porter atteinte à l’intégrité de l’organisation pour laquelle ils travaillent. Il vise à favoriser la diffusion d’une culture de l’éthique dans le respect des principes de légalité.

Le présent règlement a pour but de régir la procédure de gestion des signalements d’infractions au sein de la société et de faire connaître les modalités par lesquelles celle-ci garantit la protection du lanceur d’alerte.

Ce règlement est basé sur les réglementations récentes (D. Lgs. 10 mars 2023, n. 24) et est rédigé conformément aux « Lignes directrices sur la protection des personnes signalant des violations du droit de l’Union et des personnes signalant des violations des dispositions légales nationales » adoptées par l’Autorité Nationale Anticorruption (ANAC), ainsi qu’au « Guide opérationnel pour les entités privées » publié par Confindustria en octobre 2023.

Le décret législatif du 10 mars 2023, n. 24 transpose en Italie la Directive UE 2019/1937 du Parlement européen et du Conseil du 23 octobre 2019 relative à la protection des personnes signalant des violations du droit de l’Union.

La nouvelle législation vise, d’une part, à garantir la liberté d’expression et d’information, qui comprend le droit de recevoir et de communiquer des informations, ainsi que la liberté et le pluralisme des médias. D’autre part, elle constitue un outil de lutte (et de prévention) contre la corruption et la mauvaise administration dans les secteurs public et privé.

Le lanceur d’alerte fournit des informations qui peuvent mener à l’enquête, à la constatation et à la poursuite de violations de la loi, renforçant ainsi les principes de transparence et de responsabilité des institutions démocratiques. Par conséquent, garantir la protection — tant en termes de confidentialité que de protection contre les représailles — des personnes qui effectuent des signalements ou des dénonciations contribue à faire émerger et à prévenir les risques et situations préjudiciables pour l’entité concernée et, par extension, pour l’intérêt public collectif.

2. Personnes pouvant signaler une infraction

Le lanceur d’alerte (Whistleblower) est une personne physique ayant été témoin d’une infraction ou irrégularité qu’elle a découverte dans le cadre de son activité professionnelle au sein de la société ou en lien avec celle-ci, et qui décide de la signaler.

Les personnes pouvant signaler des infractions au sein de l’organisation de l’entreprise sont :

  • Les employés de la société au sens large, c’est-à-dire toutes les personnes qui ont, même temporairement, un lien de travail avec la société, y compris les travailleurs intérimaires, les volontàires, les stagiaires et/ou apprentis (rémunérés ou non), les personnes en période d’essai.
  • Les personnes qui n’ont pas encore de relation juridique avec la société ou dont la relation a cessé, si les informations relatives aux violations ont été obtenues pendant le processus de sélection ou d’autres phases précontractuelles, ou encore au cours de la relation de travail.
  • Les travailleurs et collaborateurs des entreprises fournissant des biens ou des services et qui réalisent des prestations en faveur de la société.
  • Les professionnels indépendants et consultants travaillant pour la société.
  • Les personnes exerçant des fonctions d’administration, de direction, de contrôle, de surveillance ou de représentation de l’entreprise.

3. Objet et conditions des signalements

Le décret législatif n° 24/2023 prévoit que peuvent faire l’objet d’un signalement (ou divulgation publique ou plainte), les informations relatives à des violations, y compris les soupçons fondés, de normes nationales ou de l’Union européenne portant atteinte à l’intérêt public ou à l’intégrité de l’administration publique ou de l’entité privée, commises dans le cadre de l’organisation avec laquelle le lanceur d’alerte entretient une des relations juridiques qualifiées (voir point 2). Les informations peuvent aussi concerner des violations non encore commises, que le lanceur d’alerte pense raisonnablement pouvoir se produire sur la base d’éléments concrets. Ces éléments peuvent être des irrégularités ou anomalies (indicateurs) que le lanceur d’alerte estime révélateurs de l’une des violations prévues par le décret.

Violations pouvant faire l’objet d’un signalement, d’une plainte ou d’une divulgation publique (art. 2 al. 1 d.lgs 24/2023)

  • Infractions administratives, comptables, civiles ou pénales
  • Conduites illicites et violations des modèles d’organisation et de gestion (d.lgs 231/2001)
  • Infractions relevant du champ d’application des actes de l’Union européenne ou nationaux
  • Actes ou omissions portant atteinte aux intérêts financiers de l’Union européenne
  • Actes ou omissions concernant le marché intérieur de l’Union européenne compromettant la libre circulation des marchandises

Peuvent également être signalés des faits visant à dissimuler des violations. Par exemple, la dissimulation ou la destruction de preuves concernant la commission d’une infraction.

Ne sont pas admis les signalements portant uniquement sur des aspects de la vie privée sans lien direct ou indirect avec l’activité professionnelle ou de travail de la personne concernée.

Ne sont pas considérées comme signalements valides : les informations manifestement infondées, les informations déjà totalement publiques, ou encore celles obtenues uniquement par des rumeurs peu crédibles (ce que l’on appelle des « on-dit »). En outre, les signalements ne doivent pas avoir un ton injurieux ni contenir d’insultes personnelles ou de jugements moraux visant à nuire à l’honneur ou à la réputation personnelle et/ou professionnelle de la personne concernée.

Enfin, ne peuvent faire l’objet d’un signalement :

  • Les plaintes, revendications ou demandes liées à un intérêt personnel du lanceur d’alerte ou de la personne ayant porté plainte devant l’autorité judiciaire, concernant exclusivement ses rapports individuels de travail ou sa relation avec ses supérieurs hiérarchiques
  • Les risques immédiats pour la vie ou les biens, qui doivent être signalés directement aux autorités locales
  • Les désaccords sur les lois en vigueur

Les motivations ayant conduit la personne à effectuer un signalement sont sans incidence sur le traitement de celui-ci et sur la protection contre les mesures de représailles. Il est toutefois entendu que ne sont pas considérés comme des signalements de whistleblowing les cas relevant exclusivement d’un intérêt personnel du lanceur d’alerte.

4. Éléments et caractéristiques des signalements

Il est nécessaire que le signalement précise clairement :

  • Les circonstances de temps et de lieu où le fait objet du signalement s’est produit.
  • La description du fait
  • Les informations générales ou autres éléments permettant d’identifier la personne à laquelle les faits signalés sont attribués

Il est également utile de joindre des documents pouvant fournir des éléments de fondement des faits signalés, ainsi que l’identification d’autres personnes potentiellement informées des faits.

Lorsque les faits signalés ne sont pas suffisamment détaillés, la personne chargée de la gestion des signalements peut demander des éléments complémentaires au signalant via le canal dédié ou en personne, si le signalant a demandé une rencontre directe.

La définition correcte des circonstances, la description complète et la présence appropriée de documents peuvent permettre le traitement des signalements anonymes, pour lesquels il n’est pas possible d’identifier l’identité du signalant. Ce n’est que dans ce cas que les signalements anonymes pourront être considérés au même titre que les signalements ordinaires, lorsque leur traitement est prévu.

5. Canaux et modalités de présentation des signalements

Le système interne de signalement utilise des canaux de communication spécifiques, autonomes et indépendants, mis à la disposition du personnel.

Les modalités techniques d’envoi suivantes sont prévues :

  • Courrier postal : lettre confidentielle adressée aux organes désignés comme Responsables de la gestion des signalements (ci-après également les « Responsables »)
  • Adresse e-mail garantissant un accès réservé uniquement aux sujets désignés comme Responsables de la gestion des signalements : violazioni@renatocorti.it
  • Entretien personnel avec les sujets désignés comme Responsables de la gestion des signalements.

Quiconque reçoit un signalement en dehors des modalités techniques d’envoi prévues par le système interne de signalement des violations est tenu de le transmettre rapidement en original aux Responsables, en détruisant les éventuelles copies et en garantissant la confidentialité des informations dont il a pu avoir connaissance.

6. Protections et garanties prévues par le système interne de signalement

Dans l’optique d’encourager le développement et l’utilisation d’un système interne efficace de signalement des violations, adapté aux dimensions et à la complexité de l’entreprise, l’entreprise assure les protections et garanties suivantes pour tous les sujets impliqués :

a. Protection et droits du signalant. Le système interne de signalement des violations adopté par l’entreprise garantit la confidentialité de l’identité du signalant, qui ne peut en aucun cas être révélée (notamment en relation avec la personne signalée et les supérieurs hiérarchiques) sans son consentement exprès, sous réserve des exceptions prévues par la loi :

  • L’anonymat n’est pas opposable en droit (exemple : enquêtes pénales)
  • Certains éléments du signalement obligent à dénoncer aux autorités judiciaires

À l’égard du collaborateur qui effectue un signalement en vertu du présent règlement, le système interne prévoit la lutte et la répression de toute forme de représailles, discrimination ou intimidation ayant des effets sur les conditions de travail pour des motifs liés au signalement. Par mesures discriminatoires, on entend par exemple : licenciement, sanctions disciplinaires injustifiées, non-reconnaissance des primes d’entreprise, mobilité injustifiée, harcèlement sur le lieu de travail et toute autre forme de représailles qui rendent les conditions de travail intolérables. Le signalant pourra à tout moment demander l’application des protections prévues, notamment le droit de demander un transfert dans un autre bureau et, si nécessaire, un soutien psychologique indépendant en cas de stress lié au signalement.
L’entreprise garantit, dans la mesure du raisonnable, la satisfaction de ces demandes. Aucune forme de représailles ou discrimination ayant des effets sur les conditions de travail des collaborateurs participant à la vérification de la véracité du signalement n’est admise.

b. Caractère nominatif des signalements. Bien que prévu par la loi, l’entreprise ne souhaite pas encourager les signalements anonymes comme moyen ordinaire de mettre en évidence une violation. Par conséquent, le système interne adopté prévoit que les signalements doivent être nominaux et que le signalant anonyme est invité, lors du premier contact, à fournir ses coordonnées afin d’être recontacté.

c. Protection et droits du sujet signalé. Le système interne garantit la confidentialité de l’identité du sujet signalé. Si un sujet est enquêté suite à un signalement effectué via le système, il sera informé dans un délai raisonnable, en tenant compte des besoins spécifiques du cas et au plus tard à la fin de la phase d’instruction. Lorsque des informations doivent être collectées pour l’enquête, la gestion des données personnelles et des informations liées à la dénonciation privilégie le secret sur le droit à la transparence de la personne « signalée » (information sur la vie privée) et, par conséquent, sur la nécessité d’obtenir son consentement préalable au traitement des données personnelles. Une fois l’enquête terminée – ce qui suspend provisoirement certaines protections de la vie privée – la personne signalée pourra accéder aux données du signalement (hors identité du signalant) et demander la correction des données inexactes, incomplètes ou non mises à jour, ainsi que la suppression des données dont la conservation n’est plus nécessaire.

d. Confidentialité et protection des informations. Le système assure, comme condition essentielle à son fonctionnement, la protection des informations (identité du signalant, contenu du signalement, identité du signalé) relatives aux signalements, au sein des processus et des solutions techniques et informatiques utilisées. Pour éviter toute divulgation non autorisée (par exemple accès non autorisé, perte ou diffusion accidentelle), un ensemble strict de mesures de sécurité informatique est garanti, telles que :

  • Adoption de politiques adéquates de sécurité des accès
  • Adoption de politiques adéquates d’accès aux données
  • Modalités appropriées de conservation des données
  • Gestion protégée et confidentielle du contenu des signalements

Tous les sujets impliqués dans le processus, de la réception à l’archivage, ont l’obligation de garantir discrétion et confidentialité absolue des informations contenues dans les signalements, notamment l’identité du signalant. Le personnel chargé de gérer ces informations est clairement identifié, formé spécifiquement et soumis à des obligations spécifiques de confidentialité liées à son rôle.

e. Traitement des signalements faits de mauvaise foi. Les signalements effectués selon le système interne n’entraînent aucune responsabilité pour le signalant, sauf en cas de dol ou de mauvaise foi. Si, au cours de l’examen, il est constaté que le signalement a été fait dans le but de nuire ou de porter préjudice au signalé (signalement dolosif ou de mauvaise foi), pouvant constituer une responsabilité pour calomnie ou diffamation, l’entreprise pourra envisager des sanctions disciplinaires. Afin de protéger la dignité et la réputation de chacun, l’entreprise protège son personnel contre les signalements diffamatoires, en les censurant et, si nécessaire, en informant les personnes concernées.

f. Traitement des données personnelles. Les informations et toutes données personnelles acquises dans le cadre du présent règlement sont traitées conformément à la législation en vigueur sur la protection des données personnelles.

7. Activités dont est responsable la gestion des signalements

La personne en charge du traitement des signalements doit respecter les indications fixées par le législateur pour garantir une gestion efficace et rapide du signalement ainsi que la protection des personnes signalantes.

La gestion des signalements doit :

  1. Fournir au signalant un accusé de réception dans les sept jours suivant la réception du signalement
  2. Maintenir les échanges avec le signalant
  3. Donner un suivi approprié aux signalements reçus
  4. Fournir une réponse au signalant dans un délai impératif de trois mois à compter de la réception du signalement

8. Rôles et responsabilités

Les Responsables de la gestion des signalements sont désignés comme l’Administrateur Unique, le Directeur Finances et Administration, et le Responsable des Ressources Humaines. Les Responsables
gèrent collégialement les signalements, sauf lorsque le signalement concerne spécifiquement l’un d’eux. Dans ce cas, le Responsable concerné doit s’abstenir et le signalement est traité par les autres membres du Collège.

Les Responsables ont pour mission :

  • D’approuver le présent règlement ainsi que toute modification nécessaire au système ;
  • De promouvoir des initiatives pour garantir la compréhension et la diffusion du contenu du règlement auprès des sujets concernés ;
  • Après examen et traitement attentif des signalements, d’évaluer l’adoption des mesures nécessaires, y compris disciplinaires, jugées appropriées pour interrompre ou prévenir la répétition du comportement signalé.

9. Processus de gestion des signalements de violations

Le processus de gestion des signalements se compose des étapes suivantes :

  • Réception et vérification de recevabilité
  • Phase d’instruction
  • Archivage, traçabilité et conservation du signalement

L’ensemble du processus doit garantir la confidentialité et la protection des données personnelles du signalant et du sujet éventuellement signalé.

9.1 Réception et vérification de l’admissibilité

La phase de réception du signalement consiste à recueillir toutes les informations transmises par le lanceur d’alerte et à les compléter, afin de procéder à la vérification de l’admissibilité ou non du signalement.

À ce stade, il convient de vérifier les aspects subjectifs, objectifs et la complétude des informations. Les responsables procèdent donc à la vérification :

  • de la présence de l’indication de l’identité du lanceur d’alerte ;
  • de l’appartenance du lanceur d’alerte au périmètre subjectif (voir point 2) ;
  • que le signalement relève du périmètre objectif défini pour la gestion des signalements dans le cadre du système interne de signalement des violations (voir point 3) ;
  • que le signalement comporte des éléments suffisants d’une éventuelle conduite justifiant une activité d’enquête ;
  • que le signalement présente les éléments fondamentaux :
  1. date du signalement ;
  2. déclaration de l’éventuel intérêt privé lié au signalement ;
  3. déclaration de l’éventuelle coresponsabilité concernant la violation signalée ;
  4. période de référence de l’acte/du fait ;
  5. personnes ou structures d’entreprise impliquées ;
  6. description circonstanciée des actes ou faits ;
  7. indication des modalités pour communiquer au lanceur d’alerte les résultats des vérifications effectuées, ou la déclaration explicite de ne pas vouloir être contacté (sauf besoins judiciaires éventuels).

À ce stade, les responsables, si nécessaire, demandent au lanceur d’alerte toutes les informations complémentaires nécessaires en assurant la protection de la confidentialité de son identité.

Les signalements effectués par entretien direct doivent être consignés par les responsables et partagés avec le lanceur d’alerte.

Une fois l’admissibilité du signalement vérifiée, les responsables inscrivent les données dans le registre prévu à cet effet en attribuant au signalement un numéro progressif chronologique, basé sur la date de réception.

Le registre doit contenir :

  • Code d’identification progressif
  • Date de réception
  • Données personnelles du lanceur d’alerte
  • Modalité technique d’envoi utilisée
  • État du dossier (pris en charge, en cours d’examen, en évaluation, archivé).

Les responsables procèdent également à l’ouverture du dossier du signalement, en lui attribuant le code d’identification progressif du registre et en recueillant toutes les informations relatives au signalement.

À la fin de cette phase, les responsables évaluent s’ils doivent :

  • archiver le signalement, pour les signalements manifestement infondés et/ou manifestement hors du périmètre subjectif du système interne de signalement des violations ;
  • lancer la phase d’examen du signalement.

En cas d’archivage, les responsables transmettent une information spécifique au lanceur d’alerte, motivant la décision par une brève description.

9.2 Phase d’instruction

Les responsables lancent l’activité d’instruction dans le respect des principes de rapidité, indépendance, équité et confidentialité, sollicitant éventuellement le soutien des structures organisationnelles compétentes ou de consultants externes spécialisés dans le domaine du signalement reçu et dont l’implication est fonctionnelle à la vérification du signalement, en assurant la confidentialité et l’anonymisation des données personnelles éventuellement contenues dans le signalement.

La méthodologie à adopter pour réaliser les activités de vérification est évaluée au cas par cas, en identifiant la technique jugée la plus efficace, compte tenu de la nature de l’événement à l’origine de la violation et des circonstances existantes. Les vérifications peuvent être effectuées, à titre d’exemple, par : interviews, analyse documentaire, recherche d’informations dans des bases de données publiques, contrôles des équipements de l’entreprise, dans le respect de la réglementation sur la protection des données personnelles.

En aucun cas des vérifications ne doivent porter atteinte à la dignité ou à la confidentialité de l’employé et/ou être arbitraires, partiales ou iniques, de nature à discréditer l’employé ou à compromettre sa dignité devant ses collègues.

Les responsables doivent, dans un délai de trois mois à compter de la réception du signalement, évaluer s’ils doivent :

  • archiver le signalement, en transmettant une information spécifique au lanceur d’alerte, dûment motivée ;

évaluer le signalement comme pertinent et, en conséquence, envisager l’adoption des mesures jugées appropriées, y compris disciplinaires, afin d’interrompre et de corriger le comportement signalé.

9.3 Archivage, traçabilité et conservation du signalement

Les responsables assurent la traçabilité des signalements et des activités d’examen et d’évaluation y afférentes, garantissant que le processus soit vérifiable ex post.

À l’issue des activités d’enquête, ou lorsque les éventuelles procédures judiciaires ou disciplinaires en découlant sont terminées, les données fournies seront traitées et conservées pour une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles ont été collectées ou ultérieurement traitées, et en tout cas pas plus de cinq ans.

En particulier, en cas d’action judiciaire ou disciplinaire à l’encontre de la personne signalée ou du lanceur d’alerte ayant fait des déclarations fausses ou diffamatoires, les données personnelles devront être conservées jusqu’à la conclusion de la procédure et à l’expiration des délais pour interjeter appel.

Les données personnelles relatives à des signalements jugés infondés devront, en revanche, être supprimées sans délai.

Les dossiers des signalements sont conservés et archivés dans un espace approprié, sécurisé et bien protégé afin de garantir la confidentialité des informations recueillies et la protection des données personnelles contenues, conformément aux dispositions relatives à la confidentialité. La conservation doit être assurée pour une durée n’excédant pas celle nécessaire aux finalités pour lesquelles les données ont été collectées ou ultérieurement traitées, et toujours dans le respect des procédures de confidentialité en vigueur dans l’entreprise, et en tout cas pas plus de cinq ans.

10. Dispositions finales

Le présent règlement, approuvé comme indiqué dans les notes de la page de garde, sera soumis à révision en cas d’événements externes ou internes importants.